Cette page explique comment utiliser les métriques pour surveiller Policy Controller.
Policy Controller comprend plusieurs métriques liées à l'utilisation des règles. Par exemple, des métriques enregistrent le nombre de contraintes et de modèles de contraintes, ainsi que le nombre de violations d'audit détectées. Pour créer et enregistrer ces métriques, Policy Controller utilise OpenTelemetry. Vous pouvez configurer Policy Controller pour exporter ces métriques vers Prometheus ou Cloud Monitoring. Le paramètre par défaut pour l'exportation des métriques exporte les métriques vers Prometheus et Cloud Monitoring.
Configurer l'exportation des métriques
Vous pouvez configurer la manière dont Policy Controller exporte ses métriques. Vous pouvez choisir entre Prometheus et Cloud Monitoring lors de l'installation de Policy Controller. Par défaut, Policy Controller tente d'exporter des métriques vers Prometheus et Cloud Monitoring.
Exporter des métriques vers Cloud Monitoring
Si Policy Controller s'exécute dans un environnement Google Cloud disposant d'un compte de service par défaut, Policy Controller exporte automatiquement les métriques vers Cloud Monitoring.
Si GKE Workload Identity ou Fleet Workload Identity sont activés, autorisez Policy Controller à envoyer des métriques en exécutant la commande suivante :
Les clusters GKE sur VMware et sur solution Bare Metal ainsi que les clusters multicloud GKE (sur AWS et Azure) sont automatiquement enregistrés dans votre parc de projets avec la fonctionnalité Workload Identity du parc activée.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:PROJECT_ID.svc.id.goog[gatekeeper-system/gatekeeper-admin]" \
--role=roles/monitoring.metricWriter
Remplacez PROJECT_ID par l'ID de projet Google Cloud du cluster.
Vous pouvez afficher ces métriques avec l'explorateur de métriques ou à l'aide de l'API Cloud Monitoring.
Exporter des métriques vers Prometheus
Policy Controller exporte les métriques pour Prometheus sur le port 8888 du pod gatekeeper-controller-manager-* sous l'espace de noms gatekeeper-system.
Si Policy Controller s'exécute sur un cluster sur lequel Google Cloud Managed Service pour Prometheus est configuré, ces métriques sont automatiquement collectées et stockées dans Cloud Monitoring. Cela fonctionne également pour les clusters qui activent Google Cloud Managed Service pour Prometheus après l'installation de Policy Controller. Vous devrez peut-être également accorder des autorisations supplémentaires au compte de service Compute Engine par défaut utilisé par Google Cloud Managed Service pour Prometheus, en fonction de vos règles. Pour en savoir plus sur l'attribution d'autorisations à Google Cloud Managed Service pour Prometheus, consultez Activer la collecte gérée : GKE. Pour en savoir plus sur la configuration de Google Cloud Managed Service pour Prometheus, consultez la page Premiers pas avec la collecte gérée.
Policy Controller étant disponible avec GKE Enterprise, il n'y a aucun coût supplémentaire pour l'observabilité de Google Cloud, y compris Google Cloud Managed Service pour Prometheus. Si Policy Controller est installé avant d'exiger une licence GKE Enterprise et que Google Cloud Managed Service pour Prometheus est activé, des frais liés aux métriques collectées peuvent s'appliquer. Pour en savoir plus sur la tarification de Cloud Monitoring, consultez la page Tarifs de Google Cloud Managed Service pour Prometheus.
Pour obtenir des exemples d'affichage des métriques avec la solution Google Cloud Managed Service pour Prometheus, consultez la section Interroger à l'aide de Cloud Monitoring.
Afficher les métriques
Les métriques Policy Controller sont exportées vers votre projet Cloud Monitoring au format Prometheus. Par conséquent, vous pouvez interroger des métriques à l'aide de l'API Cloud Monitoring et d'un tableau de bord dans la console Google Cloud. Vous pouvez modifier ce tableau de bord pour répondre à vos besoins commerciaux et opérationnels.
Pour interroger l'API Cloud Monitoring, utilisez le langage de requête Prometheus (PromQL) (langage de requête de facto pour les métriques Kubernetes) ou le langage de requête Monitoring (MQL) (langage de requête de métriques propriétaire de Google).
Pour créer le tableau de bord Policy Controller, procédez comme suit :
Dans la console Google Cloud, accédez à la page Tableaux de bord.
Sur la page Aperçu des tableaux de bord, cliquez sur l'onglet Exemple de bibliothèque. Cet onglet affiche tous les tableaux de bord que vous pouvez importer.
Dans la colonne Catégories, sélectionnez Anthos Config Management.
Dans le tableau Exemples Anthos Config Management, cochez la case Contrôleur de règles.
Cliquez sur download Import (Importer).
Pour créer le tableau de bord, cliquez sur Confirmer dans la fenêtre de confirmation.
Pour afficher et modifier le tableau de bord du contrôleur de règles :
- Sur la page Aperçu des tableaux de bord, sélectionnez l'onglet Liste des tableaux de bord.
- Sélectionnez le tableau de bord Policy Controller.
- Pour personnaliser le tableau de bord, cliquez sur Modifier le tableau de bord.
- Apportez les modifications nécessaires, puis cliquez sur Enregistrer. Pour en savoir plus sur la personnalisation des tableaux de bord, consultez la page Filtrer un tableau de bord dans la documentation Cloud Monitoring.
Créer des alertes
Pour recevoir des notifications lorsque vos métriques atteignent certains seuils, créez des règles d'alerte dans Cloud Monitoring.
Intégration tierce
En utilisant l'API Cloud Monitoring, tout outil d'observabilité tiers peut ingérer des métriques Policy Controller.
Par exemple, si vous utilisez des tableaux de bord Grafana, ajoutez l'API Cloud Monitoring en tant que source de données dans Grafana. Pour en savoir plus, consultez la page Google Cloud Monitoring dans la documentation Grafana.
Métriques disponibles
Si Policy Controller est activé sur votre cluster et configuré pour l'exportation vers Cloud Monitoring, vous pouvez interroger les métriques suivantes (toutes précédées du préfixe OpenCensus/) :
| Nom | Type | Libellés | Description |
|---|---|---|---|
OpenCensus/audit_duration_seconds |
Cumulé | Distribution de la durée du cycle d'audit | |
OpenCensus/audit_last_run_time |
Jauge | Horodatage de l'époch depuis la dernière exécution d'audit, exprimé en secondes avec virgule flottante | |
OpenCensus/constraint_template_ingestion_count |
Cumulé | état | Nombre total d'actions d'ingestion de modèle de contrainte |
OpenCensus/constraint_template_ingestion_duration_seconds |
Cumulé | état | Distribution de la durée d'ingestion de modèle de contrainte |
OpenCensus/constraint_templates |
Jauge | état | Nombre actuel de modèles de contraintes |
OpenCensus/validation_request_count |
Compteur | admission_status | Décompte de requêtes d'admission du serveur d'API |
OpenCensus/validation_request_duration_seconds |
Cumulé | admission_status | Distribution de la durée des requêtes d'admission |
OpenCensus/violations |
Jauge | enforcement_action | Nombre de violations des règles d'audit détectées au cours du dernier cycle d'audit |
OpenCensus/watch_manager_intended_watch_gvk |
Jauge | Nombre de GroupVersionKinds uniques que Policy Controller est censé surveiller. Il s'agit d'une combinaison de ressources et de contraintes synchronisées. | |
OpenCensus/watch_manager_watched_gvk |
Jauge | Nombre de GroupVersionKinds uniques que Policy Controller surveille réellement. Cette métrique est censée converger pour correspondre à OpenCensus/watch_manager_intended_watch_gvk. |
Si Policy Controller est configuré pour exporter vers Prometheus, vous pouvez interroger les métriques suivantes (toutes précédées du préfixe Prometheus/) :
| Nom | Type | Libellés | Description |
|---|---|---|---|
Prometheus/gatekeeper_audit_duration_seconds/histogram |
Cumulé | Distribution de la durée du cycle d'audit | |
Prometheus/gatekeeper_audit_last_run_end_time/gauge |
Jauge | Horodatage de l'epoch de la fin de la dernière exécution d'audit, exprimé en secondes avec virgule flottante | |
Prometheus/gatekeeper_audit_last_run_time/gauge |
Jauge | Horodatage de l'epoch du début de la dernière exécution d'audit, exprimé en secondes avec virgule flottante | |
Prometheus/gatekeeper_constraint_template_ingestion_count/counter |
Cumulé | état | Nombre total d'actions d'ingestion de modèle de contrainte |
Prometheus/gatekeeper_constraint_template_ingestion_duration_seconds/histogram |
Cumulé | état | Distribution de la durée d'ingestion de modèle de contrainte |
Prometheus/gatekeeper_constraint_templates/gauge |
Jauge | état | Nombre actuel de modèles de contraintes |
Prometheus/gatekeeper_validation_request_count/counter |
Cumulé | admission_status, admission_dryrun | Décompte de requêtes d'admission du serveur d'API |
Prometheus/gatekeeper_validation_request_duration_seconds/histogram |
Cumulé | admission_status | Distribution de la durée des requêtes d'admission |
Prometheus/gatekeeper_violations/gauge |
Jauge | enforcement_action | Nombre de violations des règles d'audit détectées au cours du dernier cycle d'audit |
Prometheus/gatekeeper_watch_manager_intended_watch_gvk/gauge |
Jauge | Nombre de GroupVersionKinds uniques que Policy Controller est censé surveiller. Il s'agit d'une combinaison de ressources et de contraintes synchronisées. | |
Prometheus/gatekeeper_watch_manager_watched_gvk/gauge |
Jauge | Nombre de GroupVersionKinds uniques que Policy Controller surveille réellement. Cette métrique est censée converger pour correspondre à Prometheus/gatekeeper_watch_manager_intended_watch_gvk/gauge. |